Суть закона о персональных данных (152-ФЗ): краткое объяснение

Когда вы регистрируетесь на сайте, оформляете скидочную карту в магазине, устраиваетесь на работу — вы везде делитесь своей личной информацией. Чтобы эти данные не использовали вам во вред, существует специальный российский закон — 152-ФЗ «О персональных данных». Давайте вместе разберемся, что это за закон, как он работает и какие права нам дает.

Что такое закон о персональных данных

Определение и цель закона

Если говорить кратко, то закон о персональных данных 152-ФЗ — это свод правил, который объясняет компаниям и организациям, как можно и как нельзя обращаться с личной информацией людей. Представьте, что ваши данные — это ваше настоящее личное имущество. Вы же не позволите посторонним брать ваши вещи без спроса и использовать их как вздумается? Закон устанавливает похожие правила для информации.

Кого касается 152-ФЗ

Принятый Госдумой закон касается абсолютно всех, кто имеет дело с личными данными. В нем есть две главные стороны:

1. Субъект персональных данных. Это любой человек, чьи данные собирают. То есть вы, ваши друзья и родственники.
2. Оператор персональных данных. Это любая компания, госорган, ИП или даже физическое лицо, которое работает с вашей личной информацией.

Основные положения закона

Какие данные считаются персональными

Персональные данные — это любые виды информации, которые позволяют напрямую или опосредованно найти определенного гражданина. Этот список очень широкий и не ограничивается только паспортом.

К персданным относят:

• ФИО
• Место и год рождения
• Адреса, телефоны, электронные почты
• Паспорт, ИНН, СНИЛС
• Дипломы, профессиональные данные, ваши доходы
• Фото и видео с вами
• Отпечатки пальцев, рисунок сетчатки глаза
• Геолокация
• IP-адрес или файлы cookie, если с их помощью можно вас идентифицировать и др.

Принципы обработки персональных данных

Закон устанавливает четкие принципы, которым должен следовать любой оператор. Вот ключевые из них:

• Собирать данные можно только на законных основаниях.
• Оператор обязан четко заявить, для чего ему нужны ваши данные (например, «для доставки заказа»), и не имеет права использовать их с другими целями.
• Нужно собирать только ту информацию, которая действительно нужна для той цели, которая заявлена. Как пример, для оформления новостной рассылки достаточно email, а просить паспортные данные — уже перебор.
• Информация должна быть достоверной и актуальной.
• Хранить информацию можно не дольше, чем это требуется для получения результата ее обработки. После этого их должны удалить или обезличить.

Права субъектов персональных данных

Это самая важная часть для нас с вами. Закон дает нам, как субъектам, конкретные права:

• Вы можете запросить у любого оператора информацию о том, какие ваши данные он имеет и кому передает.
• Вы можете ознакомиться со своими данными.
• Когда вы нашли ошибку в своей информации или считаете, что она уже не нужна для конкретной цели, вы можете потребовать их исправить, заблокировать или удалить.
• Если вы ранее давали согласие на обработку данных, его тут же можно отозвать.
• Если ваши права нарушены, вы можете обратиться с жалобой в Роскомнадзор (это главный надзорный орган в этой сфере) или в суд.

Обязанности операторов

Соответственно, у операторов есть свои обязательства:

• Запрашивать согласие на обработку данных (чаще всего).
• Опубликовать на сайте свою «Политику в отношении обработки персональных данных».
• Защищать информацию от утечек и взлома.
• Отвечать на вопросы людей относительно их информации.

Согласие на обработку персональных данных

Когда требуется согласие

Главное правило закона: обработка персональных данных возможна только с согласия человека. Вы даете его, когда ставите галочку в поле «Согласен на обработку персональных данных» при регистрации на сайте, подписываете отдельный документ при приеме на работу или оформлении кредита.

Правильное согласие должно быть:

• Конкретным: вы понимаете, на что именно соглашаетесь.
• Информированным: вас предупредили о целях, сроках и способах обработки.
• Сознательным: вы даете его добровольно, без принуждения.

В каких случаях обработка возможна без согласия

Закон предусматривает несколько исключений, когда ваше согласие не требуется. Это логичные и жизненно важные ситуации.

• Для исполнения договора, в котором вы являетесь стороной. Например, когда вы заказываете товар, интернет-магазин обрабатывает ваше имя и адрес для доставки. Ваше согласие подразумевается самим фактом заключения договора (заказа).
• Для выполнения требований другого закона. Например, работодатель обязан передавать ваши данные в Налоговую службу и Пенсионный фонд — для этого ваше отдельное согласие не нужно.

Защита и хранение персональных данных

Требования к безопасности

Собрать информацию и положить ее в папку на компьютере недостаточно. Закон предписывает операторам серьезно решить вопрос их защиты. Представьте, что это не просто информация, а сейф с ценностями. Оператор отвечает за надежность этого сейфа.

Требования к безопасности делятся на два типа:

Организационные меры

1. Выбор работника, отвечающего за обработку персданных.
2. Написание внутренних инструкций для сотрудников, у которых есть доступ к информации.
3. Обучение персонала условиям работы с личной информацией.
4. Ограничение круга лиц, которые могут увидеть данные. Бухгалтеру не нужен доступ к истории медицинских анализов, а врачу — к данным о зарплате.

Технические меры

Это все, что связано с компьютерами, сетями и программами.

1. Использование антивирусов и межсетевых экранов (файрволов).
2. Применение шифрования, особенно при передаче данных через интернет.
3. Настройка системы паролей и разных уровней доступа.
4. Регулярное создание резервных копий, чтобы данные не потерялись.
5. Физическая охрана серверов и компьютеров, где хранится информация.

Цель всех этих мер одна — не допустить случайной или намеренной утечки, уничтожения, изменения или блокировки ваших данных. Можно воспользоваться готовым техническим решением для хранения, и заказать защищенную и аттестованную инфраструктуру в Рег.облако, тем самым сняв с себя большой блок нагрузки.

Сроки хранения и уничтожение данных

Личные данные нельзя хранить вечно. Один из ключевых принципов закона гласит: хранение должно быть не дольше, чем этого требуют цели обработки.

Как определяется срок? Чаще всего он привязан к цели. Например, вы участвуете в разовой акции. После ее окончания и вручения призов ваши данные для этой цели больше не нужны, и их должны удалить.

Или срок установлен другим законом. Например, кадровые и бухгалтерские документы работодатель обязан хранить определенное количество лет даже после увольнения сотрудника. Этого требует архивное и налоговое законодательство.

Когда срок хранения истек или цель достигнута, оператор обязан уничтожить данные. Уничтожение должно быть безвозвратным.

Ответственность за нарушение закона

Штрафы и санкции

Если оператор не соблюдает правила, его ждет наказание. Ответственность бывает разной, но чаще всего речь идет об административных штрафах, которые назначает Роскомнадзор.

Размеры штрафов могут быть весьма значительными, особенно для юридических лиц, и достигают сотен тысяч и даже миллионов рублей. Причем штраф могут выписать за каждое отдельное нарушение:

• За обработку данных без согласия.
• За то, что на сайте нет «Политики обработки персональных данных».
• За невыполнение требования человека уточнить или удалить его данные.
• За утечку информации.

В особо серьезных случаях, если нарушение привело к тяжким последствиям, возможна даже уголовная ответственность.

Примеры нарушений и последствий

Чтобы было понятнее, давайте рассмотрим несколько жизненных ситуаций. Например, фитнес-клуб продал базу телефонов своих клиентов другой компании, которая начала обзванивать их с рекламой. Это грубое нарушение, так как клиенты давали свои номера для связи с клубом, а не для получения спама. Последствие: крупный штраф для фитнес-клуба.

Пример 2. Сотрудник интернет-магазина скачал на свою флешку базу заказов с адресами и именами покупателей и выложил ее в интернет. Последствие: штраф для магазина за недостаточные меры безопасности, а для сотрудника — административная или даже уголовная ответственность.

Пример 3. На сайте компании есть форма «Задать вопрос», где нужно указать имя и email, но нет галочки о согласии на обработку данных и ссылки на политику конфиденциальности. Последствие: во время проверки Роскомнадзор выпишет штраф.

Кратко о сути закона о персональных данных

Главная идея закона в 3-4 предложениях

Закон 152-ФЗ устанавливает единые правила игры для всех, кто работает с личной информацией граждан. Его главная идея — защитить частную жизнь человека, гарантировав, что его данные собирают честно, используют по назначению и надежно охраняют. Этот закон дает каждому из нас право контролировать свою информацию: знать, кто и зачем ее использует, а также требовать ее исправления или удаления.

Чем 152-ФЗ отличается от других нормативных актов

Многие законы так или иначе затрагивают вопросы информации, но 152-ФЗ занимает среди них особое место. Он является базовым, или, как говорят юристы, «рамочным» законом в этой сфере. Это значит, что он задает общие принципы и требования, которые действуют во всех отраслях.

Другие законы могут уточнять и детализировать правила работы с данными в своей конкретной области. Например, какие именно сведения о работнике может запрашивать работодатель. Но все эти уточнения не должны противоречить основным принципам, заложенным в 152-ФЗ.

Заключение

Итак, что же важно запомнить о законе 152-ФЗ? Это не просто скучный документ для юристов. Это ваши правила цифровой безопасности и гигиены, которые помогают защитить личную жизнь в современном мире. Для обычного человека это инструмент контроля над своей информацией. А для бизнеса — это не столько ограничение, сколько инструкция по выстраиванию честных и доверительных отношений с клиентами.

Кстати, если вы сами задумываетесь о создании своего проекта в интернете, помните, что ваша организация с первого дня станет оператором персональных данных. Поэтому важно сразу заложить правильный фундамент. Когда вы будете готовы запустить свой бизнес онлайн, обратите внимание на сервисы для бизнеса от компании Рег.облако. Они предлагают все необходимое для старта: быструю регистрацию доменных имен, надежный хостинг и удобный конструктор для создания сайтов, где вы сможете легко разместить политику конфиденциальности и формы согласия. Надежная платформа — это уже половина дела в вопросе безопасности данных ваших будущих клиентов.

FAQ

В этом разделе мы ответим на пару самых частых вопросов, которые возникают при знакомстве с законом о персональных данных.

Нужно ли получать согласие на обработку данных клиентов?

Да, в большинстве случаев — обязательно. Это золотое правило. Однако, как мы уже упоминали, есть исключения. Главное из них — обработка данных необходима для исполнения договора с клиентом.

Простой пример: когда клиент оформляет заказ в вашем интернет-магазине, вы обрабатываете его имя, адрес и телефон для доставки. Это делается в рамках договора купли-продажи, и отдельное письменное согласие на это действие не требуется. Но если вы хотите после этого отправлять ему рекламные рассылки по email или СМС, то на это уже нужно получить его отдельное, явное согласие.

Лучшая практика — быть максимально прозрачным и всегда брать явное согласие на любые действия, которые не связаны напрямую с выполнением заказа.

Кто контролирует соблюдение закона о персональных данных?

Главный надзорный орган в этой сфере — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, или сокращенно Роскомнадзор.

Именно это ведомство проводит плановые и внеплановые проверки компаний (операторов), рассматривает жалобы граждан на неправомерную обработку их данных, выписывает предписания об устранении нарушений и налагает штрафы и ведет общедоступный реестр операторов персональных данных.

Именно в Роскомнадзор следует обращаться, если вы считаете, что какая-либо компания нарушает ваши права как субъекта персональных данных.

Андрей Лебедев